Un pirate peut-il pirater le port 80?

Nous disons normalement que le port 80 est compatible avec le pare-feu.

Les pare-feu peuvent être utilisés pour filtrer les connexions entrantes et sortantes. Alors que dans le cas d'utilisation le plus simple, les pare-feu ne sont utilisés que pour filtrer les connexions entrantes, dans des environnements plus restrictifs, ils limitent également le trafic sortant, c'est-à-dire le type de services externes accessibles depuis l'intérieur d'une entreprise.

L'expression "compatible avec le pare-feu" doit être considérée dans ce dernier contexte. Cela signifie que même si presque tout le trafic sortant est refusé (de toute façon entrant, sauf s'il s'agit d'une réponse au trafic sortant), la visite de sites Web externes à l'intérieur d'une entreprise est généralement autorisée. Cela signifie l'accès au port externe 80 (http) et 443 (https). Avec des pare-feu à filtre de paquets simples, cela signifie généralement qu'aucune restriction supplémentaire n'est appliquée aux ports 80 et 443 et des pare-feu encore plus complexes avec inspection du contenu (par exemple, DPI ou proxys) n'appliquent généralement qu'une liste noire dont les sites/URL sont interdits mais autorisent toujours le Web sortant. accès en général.

Étant donné que ce type de restrictions basées sur les ports est assez courant dans les réseaux d'entreprise et même avec de nombreux points d'accès Wi-Fi publics, la plupart des communications sur Internet ont désormais tendance à fonctionner via HTTP/HTTPS ou au moins à utiliser HTTP/HTTPS comme solution de rechange au cas où ils remarqueraient des restrictions de trafic. Par exemple, Skype utilise généralement une large gamme de ports UDP et TCP mais peut retomber sur un tunnel via HTTPS si ces ports sont bloqués.

Mais le pirate peut-il pirater le port 80 via TCP ou message UDP?

Étant donné que la signification de cette phrase signifie que le trafic entrant est refusé (sauf s'il s'agit d'une réponse au trafic sortant) et que le trafic sortant est limité à la navigation sur le Web, il doit être clair qu'il n'est pas aussi simple de "... il suffit de pirater le port ..." de l'extérieur. Et étant donné que le sens s'applique à la navigation sur le Web, il ne s'applique également qu'à TCP car UDP est dans des environnements restrictifs bloqués à la fois pour les entrées et les sorties).

Mais ce qui est réellement fait par les attaquants est d'utiliser le trafic sortant sur les ports 80 et 443 pour communication C2 (commande et contrôle) et l'exfiltration des données une fois qu'ils ont réussi à infiltrer un réseau (par exemple avec des e-mails de phishing) ou drive-by-download).

Et ce qui est également fait par les attaquants, c'est de faire en sorte que les utilisateurs du réseau de l'entreprise visitent un site qui fournit des logiciels malveillants. Cela se fait par exemple en infectant des sites que l'utilisateur visite généralement ( attaque de trou d'ea ) ou en utilisant des publicités ciblées ( malvertising ). De même, l'attaquant pourrait faire en sorte que la victime fournisse des informations de connexion en attirant la victime (généralement à l'aide de courriers de phishing) vers des sites qui imitent les services communs utilisés par la victime (par exemple Paypal, messagerie Web, Netflix ...). Étant donné que l'accès principalement illimité est autorisé sur le port 80/443, cela signifie que le pare-feu ne bloquera pas ce type d'attaques.